Die Grenzen des SIEM und wie man sie überwindet

Die schiere Menge an Logs

Die meisten Unternehmen müssen Millionen Ereignisse pro Tag speichern. Netzwerkgeräte, Endgeräte, Sicherheitssysteme, Anwendungen, Speichergeräte, Proxys: Sie alle zeichnen massenhaft Ereignisse auf, die sich je nach Gerätetyp und Anbieter zudem noch deutlich unterscheiden.

Die Protokolle sind in ihrem Rohformat nicht nutzbar

Um Logs verwenden zu können, muss man sie analysieren oder die Objekte erkennen, die sie beschreiben. Solange die Protokolle nicht geparst sind, besteht keine Möglichkeit, die Objekte in einem Protokoll mit den Objekten in einem anderen in Beziehung zu setzen. Allerdings ist genau dies sowohl für die Forensik als auch für die proaktive Analyse erforderlich.

Selbst nach entsprechender Analyse der Protokolle fehlt ihnen der Kontext

Sicherheitsverantwortliche müssen die Protokolle, die als Warnmeldungen ausgegeben werden, priorisieren und untersuchen. Wer ist der Benutzer und was macht er? Handelt es sich um seinen Rechner? In welchem Büro befindet er sich? Security-Teams müssen sehr viel Zeit aufwenden, diese Art von Informationen zu erlangen, um die Art des Sicherheitsereignisses zu bestimmen oder um festzustellen, ob es sich überhaupt um ein Sicherheitsereignis handelt.

Einzelne Ereignisse bieten keinen Kontext

Ereignisse zeigen keine Querverbindungen zu früheren Ereignissen oder Ereignissen auf anderen Systemen. Dies ist vor allem deshalb problematisch, da sich Sicherheitsvorfälle oft über Wochen und Monate hinziehen können. Zudem geben die Ereignisse keinen Aufschluss über die Rolle des Users.

Es ist also nicht klar, ob es sich um seine übliche Workstation handelt, seinen normalen Standort, ob die Daten, auf die er zugreift, sensitiv sind, oder ob das Ereignis in anderer Hinsicht ungewöhnlich ist. Analysten müssen häufig Tausende von Ereignissen durchsehen, um diese Fragen zu beantworten und genügend Kontext aufzubauen, um einen einzelnen Vorfall zu verstehen und darauf zu reagieren.

Die offene Frage der Datensicherheit

Datenzugriffsaktivitäten werden häufig nicht erfasst, gespeichert oder analysiert. Viele Unternehmen erfassen oder speichern beispielsweise keine Informationen darüber, wie Benutzer mit Dateien oder E-Mails interagieren, die Gegenstand vieler Datenschutzverletzungen sind.

Intelligente Informationssammlung

Rohprotokolle liefern relativ wenig aussagekräftige Warnungen und ihre Untersuchung erfordert viel Zeit und Know-how. Logs sind oftmals „laut“ und liefern viele Zeilen, die ein einziges Ereignis beschreiben. Zudem sind die Zeilen auch nicht immer in der richtigen Reihenfolge, aus der Sicherheitsperspektive oftmals irrelevant und werden darüber hinaus in mehrere Protokolldateien geschrieben, die kombiniert werden müssen. Erschwerend kommt hinzu, dass die Protokolle nicht in einem einheitlichen Format vorliegen. Sie unterscheiden sich von Hersteller zu Hersteller, oftmals sogar von Version zu Version.

Die Unmenge an Logs verursacht zudem ein enormes Datenvolumen. So umfasst allein der Start einer VPN-Sitzung zehn bis 20 Ereignisse. Deshalb ist es effizienter, die Daten im Vorfeld zu verarbeiten, zu bereinigen und zu analysieren. Security Analytics-Lösungen können die Rohprotokolle bereits bei der Erfassung bereinigen und so die Datenmenge um 70 bis 80 Prozent reduzieren. Gleichzeitig werden diese Protokolle für eine schnelle zentrale Analyse vorbereitet.

Ein intelligenter Collector kann sogar einige Analysen und Warnmeldungen bereits am Ort der Erfassung durchführen und so beispielsweise nahezu in Echtzeit eine Warnung generieren, wenn ein bestimmter Benutzer versucht, sich bei einem VPN anzumelden.

Anreicherung und Analyse

Um Störungen und Angriffe effektiv erkennen zu können, muss Kontext zwischen Usern, Systemen und Daten hergestellt werden. Bei einem User kann es sich um eine Führungskraft mit Zugang zu sensiblen Daten, um einen Administrator mit Zugang zu wichtiger Infrastruktur oder um eine Person handeln, die kürzlich gekündigt hat. Ein System kann ein kritischer Server, eine Workstation oder ein Testsystem sein. Dateien können persönliche Informationen oder kritische IP enthalten. Manche Dateien sind einfach nur Katzenbilder.

Ohne diesen Kontext ist es sehr schwer, den Unterschied zwischen etwas Wichtigem und etwas Unwichtigem zu erkennen: Ein nicht administrativer Benutzer, der ein administratives Tool wie einen Sniffer ausführt, und eine Reihe von DNS-Anfragen generiert, ist ein Grund für eine sofortige Sperrung des Kontos und des Arbeitsplatzes.

Handelt es sich hingegen um einen bekannten Administrator, der die gleichen Tätigkeiten ausführt, ist eine kurze E-Mail oder ein Telefonanruf angemessen. Ein umfangreicher Download an einen ungewöhnlichen Ort ist dann von Bedeutung, wenn der Benutzer oder die Workstation kürzlich auf persönliche Daten oder kritische IP-Adressen zugegriffen hat. Bei Katzenbildern ist hingegen weniger Sorge angebracht.

Der Kontext ist dabei nicht statisch, sondern muss im Laufe der Zeit aufgebaut und verfeinert werden. Benutzer greifen von unterschiedlichen Rechnern, zu unterschiedlichen Zeiten und von unterschiedlichen Orten aus auf verschiedene Datensätze auf verschiedenen Systemen zu. Hier erweist sich maschinelles Lernen als sehr effektiv, indem das normale Verhalten bei den Interaktionen zwischen allen Benutzern, Systemen und Daten identifiziert wird und so im Vergleich auffälliges Verhalten erkannt werden kann.

Reaktion

An einem herrscht in Security-Teams nie ein Mangel: Warnmeldungen. Rohdaten aus SIEM-Systemen erzeugen nicht nur ausgesprochen viele Warnungen, es dauert auch relativ lange, jede einzelne Warnung zu untersuchen. Um zu wissen, ob oder wie zu reagieren ist, müssen die Analysten die Ereignisse manuell korrelieren – ein mühsamer, zeitaufwändiger Prozess.

Erhalten sie beispielsweise die Warnung „Bösartige Datei auf 10.10.150.12 entdeckt“ besteht etwa der erste Schritt darin, den entsprechenden Computer zu identifizieren, seinen Besitzer anzurufen und dann zu prüfen, ob er wirklich mit Malware infiziert wurde. Ist dies der Fall, werden Proxy-Protokolle abgefragt, um festzustellen, woher die Malware stammt, ob Verbindungen zu ungewöhnlichen Orten hergestellt und/oder große Uploads initiiert wurden. Falls ja, muss geprüft werden, ob auf sensitive Daten zugegriffen wurde und die Untersuchung geht weiter.

Sicherheitsanalysen beschleunigen diesen Prozess erheblich. Analysten erhalten weniger Warnungen, die zudem aussagekräftiger sind und sich leichter analysieren lassen – vor allem, wenn alle Korrelationen und der Kontext zusammen mit der Warnung präsentiert werden.

Sie geben Aufschluss darüber, ob User von einem (für sie) normalen Standort aus auf das Netzwerk zugreifen, ob das Konto privilegiert ist, ob auf sensible Daten zugegriffen wurde und ob das Ereignis während der normalen Zeitfenster der User auftrat. Anhand dieses Kontexts lässt sich feststellen, ob eine Warnung eine echte Gefährdung oder eine unbedeutende Anomalie darstellt.

Fazit

Sicherheitsanalytik, die intelligente Erfassung der richtigen Metadaten, intelligente Analyse und Anreicherung mit maschinellem Lernen kombiniert, verringert die Gesamtzahl der Warnmeldungen und verkürzt die Zeit, die für deren Untersuchung benötigt wird. Mit weniger, aber aussagekräftigeren Warnungen haben Analysten eine weitaus bessere Chance, echte Sicherheitsvorfälle schneller zu erkennen – und im Bereich der Cybersicherheit zählen Sekunden.

„Um Störungen und Angriffe effektiv erkennen zu können, muss Kontext zwischen Usern, Systemen und Daten hergestellt werden.“

Michael Scheffler, Varonis Systems

Ein Mitarbeitender, der auf einer Überwachungsliste steht und sensible Daten auf eine Website hochlädt, nachdem er während der Arbeitszeit darauf zugegriffen hat, steht ganz oben auf der Liste der zu untersuchenden Fälle. Das Gleiche gilt für den Administrator, der die E-Mails des Geschäftsführers liest und sie über das VPN von einem warmen und sonnigen Ort aus als ungelesen markiert.

Ein Konto, das eigentlich für die Verwaltung einer Datenbank zuständig ist, muss genauer untersucht werden, wenn es plötzlich auf Patientendaten zugreift. Hingegen führt ein Mitarbeitender, der am Monatsende während der normalen Arbeitszeit von seinem normalen Arbeitsplatz aus Dutzende von Dateien aktualisiert, zu keiner Warnung, da dies der normalen Arbeitsweise entspricht.

Um wirklichen Nutzen aus ihrem SIEM zu ziehen, sollten Sicherheitsverantwortliche auf eine Sicherheitsanalyselösung setzen. Dies erhöht nicht nur die Wahrscheinlichkeit, dass wichtige Sicherheitsereignisse erkannt werden, sondern reduziert auch den Zeitaufwand pro Untersuchung, den Verarbeitungsaufwand und den Speicherplatzbedarf (und die damit verbundenen Verbrauchskosten) und kann die Compliance-Anforderungen leichter erfüllen.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.